수백만 사용자 정보 유출 사태, 최고법원 판단 남아
![캐나다 연방대법원(The Supreme Court of Canada) 전경. [캐나다 연방대법원 공식 홈페이지]](https://www.koreadaily.com/data/photo/202506/17/222a059c-f91b-4d4b-a617-8aff08dcb7b5.jpg)
캐나다 연방대법원(The Supreme Court of Canada) 전경. [캐나다 연방대법원 공식 홈페이지]
캐나다 연방대법원(The Supreme Court of Canada)이 페이스북(현 메타)이 캐나다 개인정보 보호법을 위반했다는 항소심 판결을 심리하기로 결정했다. 이 사건은 2013년부터 2015년 사이 페이스북이 사용자에게 개인정보 처리의 위험성을 충분히 고지하지 않고 ‘의미 있는 동의’를 받지 않았다는 혐의에 관한 것이다.
지난해 9월, 연방항소법원은 개인정보 보호법(PIPEDA)에 따라 페이스북이 사용자 동의를 적절히 받지 않았다고 판단하며 1심 판결을 뒤집었다. 항소심 재판부는 수백만 개의 외부 앱이 페이스북 플랫폼에 유입됐음에도 이를 적절히 감독하지 않았다는 점을 지적했고, 하급심이 이에 대한 핵심 증거를 무시한 것은 법리 오해라고 판시했다.
이에 대해 당시 연방 개인정보보호위원이던 필립 뒤프렌스는 “이번 판결은 사용자 데이터를 수익 모델로 삼는 글로벌 기업들도 캐나다의 법을 준수해야 한다는 강력한 메시지”라고 밝혔다. 페이스북은 대법원에 상고를 제기하며, 항소심이 개인정보 보호법상 ‘의미 있는 동의’와 보안조치에 대해 잘못된 해석을 내렸다고 주장했다. 특히 다층적 동의 절차 전반이 아닌, 개인정보처리방침 문서 하나에만 초점을 맞췄다고 반박했다.
캐나다 대법원은 통상 절차에 따라 이번 사건을 심리하겠다고 밝혔으며, 그 이유는 공개하지 않았다. 개인정보보호위원회는 성명을 통해 “개인의 정보 수집•이용•공개에 있어 의미 있는 동의가 보장되는 것은 국민 신뢰와 기업의 지속가능한 혁신을 위해 필수적”이라며 소송 참여 의지를 드러냈다.
이번 사건의 배경은 2019년, 캐나다 연방 및 브리티시컬럼비아주 개인정보보호위원회가 공동 발표한 조사보고서로 거슬러 올라간다. 해당 보고서에서는 페이스북이 외부 앱 ‘디스 이즈 유어 디지털 라이프’를 통해 사용자 본인 및 친구들의 정보에 접근하도록 허용했고, 이 정보가 케임브리지 애널리티카 같은 외부 기업으로 전달됐다고 밝혔다. 이 앱은 성격 유형 검사를 미끼로 데이터를 수집했으며, 최대 8,700만 명의 개인정보가 노출된 것으로 추정되며, 이 중 60만 명 이상은 캐나다인이었다.
당시 페이스북은 조사 결과에 반발하며, “개인정보보호위원회와 협력해 여타 기업 이상의 조치를 취했다”고 주장했다. 하지만 위원회는 2020년 초, 연방법원에 페이스북이 법을 위반했다는 공식 선언을 요청했고, 1심은 “페이스북의 법 위반이 입증되지 않았다”며 페이스북 손을 들어줬다.
그러나 항소심은 “수천 단어에 달하는 이용약관을 사용자가 제대로 읽는다는 가정은 의심스럽다”고 지적하며, 문서상의 명확성만으로는 실질적 동의가 이뤄졌다고 보기 어렵다고 판단했다. 판결문에서는 다음과 같은 의문이 핵심 쟁점으로 제시됐다.
이번 대법원 심리는 디지털 시대 개인 정보 보호의 원칙과 기업 책임의 기준을 판가름하는 중대한 분수령이 될 전망이다.
임영택 기자 [email protected]